Microsoft lanzó una actualización de emergencia para una vulnerabilidad crítica de ejecución remota de código para todas las versiones de Windows que aún reciben actualizaciones de seguridad (Windows 7+ y Server 2008+). Esta vulnerabilidad permite que un atacante utilice el software para ejecutar código arbitrario desde una aplicación de llamadas como Word. Recomendamos leer las instrucciones en el sitio web de Microsoft aquí o en nuestra sección de referencias para deshabilitar el protocolo URL de MSDT.
¿Cuál es la amenaza?
Existe una vulnerabilidad de ejecución remota de código en las versiones actuales de Windows 7+ y Server 2008+. Un atacante que ejecute con éxito este código remoto puede obtener el control de la aplicación Microsoft Word. Esta vulnerabilidad de ejecución remota de código existe cuando se llama a la Herramienta de diagnóstico de soporte de Microsoft (MSDT) mediante el protocolo URL de Word. Esta vulnerabilidad se ha categorizado como de día cero, lo que indica que se trata de una falla desconocida.
¿Por qué es notable?
Esta vulnerabilidad existe en todas las versiones actuales de Microsoft Windows, que es el sistema operativo que admite una función básica de las computadoras, como ejecutar aplicaciones y controlar periféricos. Microsoft se ha visto afectado por vulnerabilidades de día cero similares que datan de 2009. Con la noticia de esta vulnerabilidad de día cero saliendo a la luz, es probable que los atacantes aceleren los ataques a los objetivos cuando sea posible, mientras esa ventana permanezca abierta.
¿Cuál es la exposición o el riesgo?
Cuando se explota, esta vulnerabilidad permite que un atacante tenga acceso completo y sin restricciones a la aplicación de Windows. Si un atacante tiene privilegios de la aplicación que llama, puede instalar programas, ver, cambiar, eliminar datos o crear nuevas cuentas fácilmente en el contexto permitido por los derechos del usuario. Estos privilegios le brindan al atacante las herramientas para llevar a cabo un evento de ransomware y Compromiso de correo electrónico comercial (BEC) que puede provocar la pérdida temporal o permanente de información confidencial o patentada, la interrupción de las operaciones regulares, pérdidas financieras y daños potenciales a la reputación de una organización.
¿Cuáles son las recomendaciones?
Barracuda MSP recomienda las siguientes acciones para limitar el impacto de un ataque de ejecución de código arbitrario:
- Siguiendo nuestro enlace de referencia para deshabilitar el protocolo URL de MSDT.
- Esté atento a cualquier posible actividad no autorizada nueva.
- Mantener todas las aplicaciones actualizadas aplicando así nuevas medidas de seguridad
- Continúe manteniéndose al día con nuestros avisos de amenazas para obtener actualizaciones.
Fuente: Smartermsp.com